До сих пор не было никакого упоминания о других заявлениях или платформах, затрагиваемых цепью Facebook слабых мест, которые позволили нападавшим ставить под угрозу 50 миллионов счетов.

Однако Гай Розен, VP Facebook управления производством, действительно говорил о сторонних приложениях, которые используют функцию логина Facebook, как затрагиваемую по данным общественности , 28 сентября нажимают расшифровку стенограммы требования (PDF).

Нападавшие, которые эксплуатировали ошибку в «Представлении Как» особенность профиля, которая помогает пользователям рассматривать свой профиль как других пользователей, видели бы их, смогли украсть 50 миллионов символов доступа Facebook. Facebook также говорил, что были бы перезагружены еще 40 миллионов счетов, которые использовали «Представление В качестве» особенности в течение прошлого года.

Вопрос безопасности в «Представлении Как» особенность был введен через видео, загружающее кодовое изменение с июля 2017, и Facebook нашел ошибку во вторник, 25 сентября, публично объявив о проблеме 28 сентября.

Поскольку Розен сказал прессу в требовании прессы, ирландская Комиссия по Защите данных была уведомлена о нарушении, чтобы выполнить GDPR Facebook (Общее Регулирование Защиты данных) обязательства.

Сторонние приложения, которые используют логин Facebook, теперь автоматически защищены Facebook, перезагружающим украденные символы доступа

Facebook также работает с другими правоохранительными органами во время расследования этого инцидента взламывания, но они отрицали, что дали любые имена помимо ФБР и ирландской Комиссии по Защите данных.

Кроме того, как указано Розеном во время требования прессы, хотя цепь слабых мест, используемых нападавшими, чтобы нарушить 50 миллионов счетов только, затронула Facebook, символы доступа, украденные в нарушении, возможно, использовались, чтобы управлять сторонними приложениями, которые показали логин Facebook.

«Уязвимость была в Facebook, но эти символы доступа позволили кому-то использовать счет, как будто они были счетом - владелец счета сами», сказал Розен. «Это действительно означает, что они, возможно, получили доступ к другим сторонним приложениям, которые использовали логин Facebook».

Однако, учитывая, что Facebook перезагрузил символы доступа для всех 50 миллионов поставивших под угрозу счетов и для 40 миллионов других счетов, которые, возможно, были также нарушены, пользователи сторонних приложений с поддержкой логина Facebook теперь защищены, и они должны будут загрузиться снова, чтобы использовать затронутые приложения.

Самый важный вопрос прямо сейчас - то, что нападавшие смогли сделать после обнаружения годной для использования цепи слабых мест и нарушения десятков миллионов аккаунтов в Facebook.

Какие данные они были в состоянии собрать, пока Facebook не нашел ошибку безопасности? Где они способный также достать те номера телефона двухфакторной аутентификации Facebook использовали для планирования объявления?

Никто не знает, но мы узнаем симпатичный вскоре после продолжающихся концов расследования, и правоохранительные органы опубликуют свой отчет на инциденте взламывания.